Главное качество политики безопасности контента состоит в том, что она открыта. Её может увидеть, прочитать и проанализировать кто угодно. И чем это грозит?
Представим, что при формировании политики безопасности для своего сайта мы обнаружили необходимость дать разрешение на отображение рекламного баннера. Или даже графического элемента счетчика.
Хорошо, если он находится на заведомо доверенном ресурсе. Открыть доступ для https://*.yandex.ru или https://*.mail.ru скорее всего ничем нам не грозит. Другое дело, если это домен некоей компании, которой мы, возможно, вполне доверяем, например https://myhostingcompany.ru, почему нет? Но ведь возможно, что эта компания предоставляет своим клиентам субдомены вида user.myhostingcompany.ru. Тогда правило https://*.myhostingcompany.ru в нашей политике безопасности не только позволит злоумышленнику разместить посторонний контент на нашем сайте, но даже прямо подскажет это сделать.
А еще рекламный баннер, картинку которого мы хотим разрешить к показу на своем сайте, может размещаться на общедоступных ресурсах, например на s3.amazonaws.com. Соответствующий допуск в политике безопасности откроет ворота в безопасности нашего сайта еще шире.
Что делать? Изучать спецификации. Впрочем, мы к этой теме еще вернемся.